阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?

阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?,第1张

阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示,在国家反垄断的大背景下,阿里云失去了跟工信部的合作关系,对其承接国家项目尤其是一些国企的项目会带来严重影响。与经济影响相对的是这次处罚带来的信誉影响更严重。阿里云作为国内云计算的龙头企业,承担了90%以上的中小企业云计算功能,如此庞大的规模,稍有不慎就可能会满盘皆输。下面来说一说整件事情:

一、阿里云冤不冤

这次发现的漏洞是基于阿帕奇Web服务器的log4j日志组件的,该组件被广泛应用于JAVA开发的各类程序中,因为其能帮助开发者分析系统运行情况以及状态。而这次发现的漏洞允许黑客通过该漏洞直接访问运行了log4j日志组件的服务器,相当于是把自己家门钥匙给了小偷。而在漏洞爆出了近半个月时间后工信部才接到别的安全企业发出的通知,相当于国内的服务器裸奔了近半月之久,所以作出这个处罚阿里云一点都不冤枉。

二、阿里云潜在问题

通过这件事情也暴露出阿里云潜在的问题,发现漏洞第一时间上报给了行业协会,但是并没有报告国家主管部门,不能只遵守行业协会的规定,而置国家法律法规不顾,这也体现了对法规条款学习的不到位。

三、后续影响

这件事对阿里云的影响不仅仅是经济上的,更多的是信誉上的,这件事后相信阿里云承接国企的项目难度会加大很多。

你知道阿里云未及时上报漏洞受到了怎样的处罚吗?欢迎留言讨论。

工信部这次暂停阿里云信息共享平台合作是因为阿里云在Web服务器阿帕奇下的开源日志组件log4j中发现了重大漏洞时并没有第一时间上报给工信部,而是上报了阿帕奇开源基金会。违反了工信部的规定将暂停阿里云作为信息共享平台的合作单位六个月,期满后根据阿里云的整改情况,在决定是否需要恢复阿里云合作单位的身份。log4j作为一款JAVA开发的开源日志记录工具,能够有效的记录程序在运行过程中产生的数据,对于分析系统存在的问题或者运行状态具有很大的作用,正因为log4j功能强大,所以在全球的使用性极其广泛。正因为其使用的范围很广,所以一旦出现问题,就会造成特别严重的后果。

11月24日阿里云在log4j发现了Log4Shell重大漏洞,这个漏洞可以使得设备远程被控制,从而敏感信息会被窃取,设备中断等对系统造成严重的危害,属于高危漏洞,甚至有声音说这是十年来最大的漏洞。可是阿里云在发现这个漏洞后,并没有按照《网络产品安全漏洞管理规定》的要求 2天内向工信部门网络安全威胁和漏洞信息平台报送信息,而黑客在得知漏洞后,在72小时内就可以发起攻击,而国家安全漏洞共享平台在事情发生半个月后才获得这一漏洞。所以这次终止跟阿里云的合作,阿里云并不冤枉。

再来看这件事对阿里云的影响,中信部门终止跟阿里云的合作,对阿里云在国内的发展势必造成影响,跟一些企业,尤其是国企的合作势必也会暂停。跟经济损失相比在信誉方面的损失会更大。

你知道工信部暂停阿里云信息共享平台合作,这背后的原因是什么? 欢迎留言讨论。

阿里云未及时上报漏洞被工信部处罚,这次的处罚给了国内云计算领域,尤其是安全领域很大的警示作用。最重要的警示就是一定要详细了解并遵守电信主管部门的规定,否则将失去工信部重要的背书,如果没有工信部的背书,相信在国内的任何一家企业将很难再接到政府部门的项目。这次事件对阿里云的处罚个人觉得阿里云不冤。阿里云在发现阿帕奇服务器的日志组件漏洞后,第一时间选择报告给了美国的阿帕奇基金会,阿帕奇基金会在收到漏洞报告后第一时间发布了漏洞补丁,这操作在行业内部是没有问题的, 虽然技术没有国界之分,但是企业是有的。阿里云在履行了行业职责的同时却忘记了自己是工信部合作单位之一,没有履行国家的职责,所以这次处罚是应当的,下面就以个人观点来说一说这件事给了我们怎样的警示作用:

一、危害严重

这次的漏洞被誉为是十年来最大的安全漏洞,就是因为用到的那个日志组件使用的广泛性。但是工信部门却在事发半月后才接到别的企业通知,而黑客在这段时间足以造成严重破坏。

二、加强学习

任何一家在中国的企业首先应该遵守的就是国家的法律法规,阿里云这次之所以没有第一时间给电信主管部门报告漏洞,很大一部分原因可能就是对合作的要求条款不熟悉,只是遵守了行业规定,个人也相信阿里云不会明知条款而不去执行。所以要加强对条款的认知理解。

三、警钟长鸣

这次的事件虽然是处罚阿里云,但是对别的企业也有一定的震慑作用,要牢记国家的法律规定是第一位的。

你觉得阿里云未及时上报漏洞被工信部处罚,此次处罚起到了怎样的警示作用?欢迎留言讨论。

绝大部分情况下,是有人用python写了一个爬虫程序,或抓取你的网页,或者收集信息。python-urllib 是python中一个常用的网页资料抓取类。

当然啦,因为http-agent是一个可以修改的东西,少部分情况是有人把自已的浏览器改成这个标识。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情